btzgrp
  • 自分へのアプリ通知 - TechRepublic
Headlines

イスラエルを拠点とする脅威アクターによるメール攻撃の高度化が進んでいる

05 mins
イスラエルを拠点とする脅威アクターによるメール攻撃の高度化が進んでいる
電子メールのセキュリティ。
画像: Getty Images/iStockphoto/Balefire9

メールセキュリティ企業Abnormal Securityの報告によると、ここ数週間の攻撃の背後にはイスラエルを拠点とする脅威グループがいるという。同社の最新の脅威レポートでは、このグループが2021年2月まで遡って約350件のビジネスメール詐欺のエクスプロイトを追跡している。

イスラエルからの攻撃は今回が初めてではないものの、非常に異例なケースです。Abnormalによると、同社が過去1年間に分析した攻撃の74%はナイジェリアからのものでした。

アブノーマル社の最高情報セキュリティ責任者マイク・ブリットン氏は、熟練した革新的なテクノロジーエコシステムから洗練された脅威アクターが出現することは予想外ではないが、アジア、イスラエル、実際は中東全体がBEC攻撃者の拠点となっていると述べた。

「比較すると、アジアと中東の国々はリストの最下位に位置しており、それぞれBECアクターのわずか1.2%と0.5%にすぎません」と彼は述べ、さらに「残念ながら、私たちの調査では、脅威アクターがイスラエル人であると断言することはできません。ただ、彼らがイスラエルを拠点として活動していると確信しているだけです(図A)」と注意書きを付け加えました。

図A

ナイジェリアを拠点とする攻撃者が依然として BEC 攻撃を支配しています。
ナイジェリアを拠点とする攻撃者が依然としてBEC攻撃を支配している。画像:アブノーマル・セキュリティ

イスラエルは最近、毎年恒例の「OpIsrael」による協調サイバー攻撃キャンペーンに合わせて行われた一連のDDoS攻撃の標的となっている。

調査によると、英国はアフリカに次いでBEC攻撃の発信元として(かなりの差をつけて)2番目に大きく、攻撃全体の5.8%を占めており、これに南アフリカ、米国、トルコ、カナダが続いている。

ブリトン氏は、攻撃者の手法の巧妙化は、かつては一般的なフィッシング攻撃に頼っていたサイバー犯罪者が、組織の進化する防御態勢や従業員のトレーニングに適応する必要があったことを示していると述べた。

「一般的なフィッシングメールの代わりに、多くの組織で検出を逃れることができる、高度に洗練されたソーシャルエンジニアリングを駆使したBEC攻撃が増加している」と彼は述べた。

Abnormal の調査によると、イスラエルを拠点とする攻撃者の手法には次のようなものがあります。

  • 実際に金融取引を行う上級リーダーを偽装する。
  • 対象企業の社内と社外の 2 つのペルソナを使用します。
  • 実際のドメインを使用して電子メール アドレスを偽装します。
  • 対象組織に電子メールのなりすましを防ぐ DMARC ポリシーがある場合、送信元の表示名を更新して、電子メールが CEO から送信されているように見せます。
  • 電子メールを対象組織が通常使用する言語に翻訳します。

アブノーマル社によると、攻撃の枠組みには内部と外部のメッセージベクトル(実在の人物、なりすまし、標的組織内外)が関係しており、前者は標的の企業の CEO であることが多い(図 B)。

図B

受信者に支払いを要求する、なりすましの幹部からの偽のメール。
なりすましの幹部から受信者に支払いを要求する偽メール。画像:アブノーマル・セキュリティ
  • この攻撃には、「役員」からフィッシングの標的となった従業員へのメッセージが含まれ、差し迫った買収について通知し、初期支払いの送金を要求します。
  • 次に、攻撃者は外部のベクトル、通常は英国外の企業、多くの場合はグローバル企業 KPMG で M&A を専門とする本物の弁護士を持ち込みます。

「一部の攻撃では、攻撃がこの第2段階に達すると、グループは攻撃を迅速化し、証拠の痕跡を最小限に抑えるために、会話を電子メールからWhatsApp経由の音声通話に移行するよう要求する」と同社は述べた。

研究によれば、

  • 攻撃者は、平均年間収益が100億ドルを超える多国籍企業を標的にしています。
  • 標的となった組織全体で、6大陸61か国の従業員が電子メールを受信しました。
  • 攻撃で要求される平均金額は 712,000 ドルで、BEC 攻撃の平均の 10 倍以上です。
  • この脅威グループからの電子メールのほとんどは英語で書かれていますが、スペイン語、フランス語、イタリア語、日本語にも翻訳されています。
  • このグループによる攻撃の 80% は、3 月、6 月~7 月、10 月~12 月に発生しました。

ブリトン氏は、攻撃者はイスラエル国内にいるものの、その動機は非国家主体の場合と同じ、つまり手っ取り早い金儲けだと述べた。「興味深いのは、これらの攻撃者がイスラエルを拠点としている点です。イスラエルは歴史的にサイバー犯罪との関わりがなく、伝統的にサイバーセキュリティの革新が盛んな国です」とブリトン氏は述べた。

同氏は、BEC 攻撃が深刻化し、要求される金額がアブノーマル社がこれまで経験した金額よりも大幅に高額になっていることを同社は目の当たりにしてきたと語った。

「メールはサイバー犯罪者にとって常に(そしてこれからも)有利な攻撃ベクトルです。そのため、脅威アクターは今後も戦術を進化させ、新たなアプローチを試し、メールユーザーへの侵入を企てる手口をさらに標的型かつ巧妙化していくでしょう」と彼は述べ、攻撃者が新たな侵入口を模索する中で、Slack、Zoom、Microsoft Teamsが脅威として顕在化し、重要性を増していると付け加えました。

可視性と自動化はBECに対するセキュリティです

Abnormal は、潜在的な人間の標的に BEC 攻撃の兆候を知らせるトレーニングを行うだけでなく、行動 AI を使用して標準的な電子メール トラフィックのベースラインを作成し、異常を早期に検出することで、BEC が標的に到達する前に捕捉する自動防御を提唱しています。

「コラボレーション アプリ全体に広がる新たな脅威に対応するため、すべてのコミュニケーション ツールの可視性を統合することで、攻撃の発生元を問わず、セキュリティ チームが疑わしいアクティビティや悪意のあるアクティビティを検出する能力が大幅に向上します」とブリトン氏は述べています。

Tagged:

Related News